1

Social Network FootPrint

GRC & Social Network FootPrint

Roma, 10 Dicembre 2012

Paolo Capozucca, SEC Consulting srl

p.capozucca@alfagroup.it

Giuseppe Cusello, SEC Consulting srl g.cusello@alfagroup.it

CONSEGUENZE ITUAZIONE

Due parole su di noi: L‘affiliata italiana di

Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all’ inizio di un nuovo modo di intendere la sicurezza nell’ ICT indotto dai Social Business?

COMSEC Consulting è la società israeliana fondata nel 1987 da Nissim Bar-El, con 25 anni di esperienza consolidata in tutti i settori della Information Security.

È la più grande società di consulenza All-inclusive di Information Security in Europa (Fonte: Gartner Group).

Opera in tutto il mondo attraverso un centro di eccellenza globale a Tel Aviv, affiliate in UK, Olanda, Turchia, Polonia…

Impiega oltre 140 professionisti della sicurezza. Auditor certificato per ISO:27001; Certificata QSA PCI/DSS & PA/DSS Advisor di ENISA, membro di OWASP Leader nella Cyber Security

CONSEGUENZE

I processi decisionali sono sempre più veloci e consapevoli essendo legati all’

analisi di una notevole quantità di informazioni provenienti da fonti anche

molto diverse fra loro

La velocità del business è notevolmente aumentata in considerazione dello

stato di crisi che stiamo vivendo

Per aumentare gli effetti del marketing le azioni sono sempre più rivolte a nicchie di utenti dove si privilegia il

rapporto con il gruppo piuttosto che il collegamento con il singolo

La velocità delle strutture commerciali è nettamente superiore alla velocità

organizzativa delle strutture tecniche

SITUAZIONE

PUNTO DI PARTENZA: Aziende, Modelli di Business, Velocità, Crisi

•Il periodo di crisi fa abbassare il livello medio di controllo per mantere alta la velocità del business

•Non esiste uno strumento privilegiato per la gestione del marketing, si utilizza dalla carta stampata al tablet. Pertanto è molto difficile garantire la corretta circolazione delle informazioni, essendo producibili da chiunque, anche non professionista (es. www.youreporter.it)

•I Social Business divengono elementi centrali di un sistema di relazioni commerciali pur essendo sconosciuti i reali risultati e le conseguenze in termini di sicurezza e controllo delle informazioni

riflessioni La crisi economica sta imponendo due elementi di successo: utilizzo di ogni piattaforma per comunicare e allargare la platea di potenziali consumer, la velocità tra idea di business e attuazione è ormai ridotta a zero. Il risultato è una totale assenza di controllo è soprattutto una totale assenza di valutazione del rischio e delle modalità nel limitarlo e portarlo ad una soglia accettabile

Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all’ inizio di un nuovo modo di intendere la sicurezza nell’ ICT indotto dai Social Business?

IL SOCIAL BUSINESS E‘ UNA REALTA‘ ORMAI CONSOLIDATA

riflessioni I social Network sono il mezzo più veloce per raggiungere grandi masse di consumatori con la certezza di colpire target molto precisi. Lo sviluppo è così rapido che neanche i pubblicitari riescono ad individuare correttamente il valore delle revenue sull’investimento

4

3 su 4 Americani usano qualche tipo di

social technology (www.kloudsocial.com)

2/3 della global community

ha utilizzato un sito di social networking

(blog.nielsen.com)

1382% al mese Il tasso di crescita

su Twitter (blog.nielsen.com)

2,600,000,000 minuti

al giorno passati suFacebook

(thefuturebuzz.com)

10% di tutto il tempo di navigazione su Internet È speso sui siti di social networking (leggi:è la 4

attività online, più dell’uso della email!)

(blog.nielsen.com)

IL SOCIAL BUSINESS : qualche altro numero

riflessioni A sinistra i numeri relativi alla sicurezza evidenziano immaturità degli ISMS e rischi. Sulla destra, i numeri sulla diffusione sono impressionanti: ormai sono utilizzati anche per studi sociali (es: il concetto di amico e il numero di essi per utente) 5

Il 50% degli impiegati dichiara di non avere una Policy di utilizzo dei Social Network (survey condotto dalla Society of Corporate Compliance and Ethics (SCCE) e dalla Health Care Compliance Association (HCCA))

Attacchi sui siti di social networking rappresentano il 20% di tutti gli attacchi online (RSA Security survey)

Altre statistiche (da Facebook): • 1 MILIARDO di utenti • In media ogni utente ha

130 amici • Oltre 900 milioni di

oggetti con cui le persone interagiscono (pagine, gruppi, eventi e pagine di community )

• In media ogni utente è collegato con 80 community, grouppi ed eventi

• In media ogni utente crea 90 parti di contenuto al mese

(www.facebook.com)

7

La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende.

Entro la fine del 2012, il 100% delle TOP 500 utilizzeranno i Social Media.

“By 2014, social networking services will replace e-mail as the primary vehicle for interpersonal communications for 20 percent of business users.”

“By 2012, over 50 percent of enterprises will use activity streams that include microblogging, but stand-alone enterprise microblogging will have less than 5 percent penetration.”

( Gartner “Predicts 2011: Social Software Is an Enterprise Reality” )

PROSPETTIVE DIFFUSIONE DEI SOCIAL MEDIA: Forecast & Actual

7

riflessioni I social Media stanno cambiando il modo di comunicare. Utilizzando una tecnologia altamente strutturata e procedurizzata si destruttura la modalità con cui i soggetti del business (cliente, fornitore ) si scambiano informazioni, introducendo con molta forza un elemento che sino ad oggi ha avuto un peso non preponderante: L’OPINION LEADER.

La sicurezza tecnologica, nello scambio di informazioni, si interseca fortemente con la sicurezza del contenuto informativo che sempre più spesso è certificato da un networtk e non da un singolo (come nel rapporto cliente-fornitore)

COSA SONO I SOCIAL MEDIA

Definizione di Social Media (Fonte: Wikipedia) Con questo termine si indicano tecnologie e pratiche utilizzate sul web, che le persone adottano per condividere contenuti testuali, immagini, video e audio, permettendo un alto grado di interazione tra i membri, focalizzato alla costruzione di community on-line di persone che condividono interessi e/o attività. Caratteristica distintiva dei Social Media è l’auto-alimentazione, grazie alla condivisione di contenuti generati dagli utenti (“user-generated content”), come ad esempio foto e video digitali, blog, podcast e wiki, che danno luogo alla democratizzazione dell'informazione, che trasforma le persone da fruitori di contenuti ad editori.

Sintesi operativa

“I Social Media sono un

insieme di piattaforme Web

2.0 tramite le quali gli utenti

interagiscono direttamente,

producendo e condividendo

contenuti propri e/o

elaborando contenuti altrui,

in tempo reale”.

però…

Perché sono per lo più gratuiti?

Di chi sono? Chi li controlla?

Come sono regolati

contrattualmente?

Che uso fanno dei social graph

degli utenti?

E dei dati immessi dagli utenti?

E delle foto?

Sono “filtrati”?

Sono “neutrali”?

Sono “liberi”?

Sono “sicuri”?

8

I SOCIAL MEDIA SONO ANCHE…

Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations.

Alcuni fatti (noti) tra i più eclatanti:

Utilizzati attivamente da Anonymous (e gruppi simili)

Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli

Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO

Utilizzati da Aziende contro concorrenti ed attivisti

1 Command, Control, Computers, Communications, Intelligence,

Surveillance and Reconnaissance

ARMI

Essendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo.

Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure più semplicemente inutilizzabili.

In effetti è già successo, a causa di:

rivolte, insurrezioni e guerre civili

attacchi cyber di vario genere e scopo

azioni di sabotaggio e di protesta

attività di poisoning tramite personae / bots

censura di Stato

(Meglio non darli troppo per scontati)….

BERSAGLIO

Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un “fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del 250% sull’anno precedente. Nel 2010 74 milioni di persone sono stati vittime di cybercrime negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $. Il costo totale worldwide (perdite dirette + costi & tempo dedicati a rimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E’ più del PIL del Vietnam, dell’Ucraina e della Romania sommati!

Se il trend continua, nel 2011 questi costi

saranno pari a metà del PIL italiano…. (circa

1 trilione di dollari).

PARADISO DEL CYBER CRIME

9

Sfruttando la notizia della morte di Bin Laden, in poche ore decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie… Per la natura dei Social Media, i criminali informatici hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di pochi giorni…

Un solo esempio per tutti…. Ne potremmo fare alcune migliaia, ogni giorno ne abbiamo di nuovi

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER GLI UTENTI

10

11

I Social Media sono una importante fonte di rischio d’impresa… anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine, cause legali…

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER LE AZIENDE

11

riflessioni I social media sono un grande rischio per utenti e aziende perché la loro diffusione iniziale è stata legata a meccanismi ludico-sociale che non hanno fatto percepire la pericolosità e i rischi connessi alla frequentazione di questi strumenti. Anche nelle aziende la prima valutazione è stata di tipo ludico e ne è riprova la pratica comune di elevare difese sotto forma di filtri sui firewall 11 11

Sicurezza infrastrutturale e processi formativi si intersecano a formare un unico pacchetto della sicurezza aziendale. Anzi, sicurezza personale e sicurezza aziendale divengono un tutt’ uno.

12

D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo? 90% risponde “non so”…

LE AZIENDE NON SONO PRONTE AI NUOVI SCENARI

12 12

riflessioni I social media stanno rivoluzionando il modo di pensare la sicurezza delle aziende perché viene annullato il concetto di “perimetro”. Riprendono valore le “ best practice” a cui ogni dipendente viene abituato/istruito dall’ azienda.

12 12

Le aziende non hanno più il perimetro di sicurezza. L’ unico argine sono il perimetro delle procedure

MA…

NECESSARIO UN NUOVO MODO DI PENSARE LA SICUREZZA

CONSEGUENZE

Social Media e “consumerizzazione” dei sistemi, ci hanno abituato ad

avere dispositivi personali nell’ uso quotidiano lavorativo. In un periodo

storico di crisi come questo, le aziende vedono con favore questa

pratica (BYOD) perché limita i costi e esternalizza alcuni problemi di

manutenzione e gestione. Questo ha un risultato devastante sulla sicurezza,

specialmente nell’era dei social media.

Il 35% degli italiani hanno uno smartphone contro una media del

10% nel resto del mondo. Il 53% degli italiani usa il device

mobile per accedere al social Network

SITUAZIONE

Nella destrutturazione conta maggiormente il comportamento dei singoli puttosto che l’ infrastruttura. Pertanto la formazione diventa un perno centrale della sicurezza.

Per esempio la gestione del welcome kit assume un valore completamente diverso. Da sistema di accoglienza e apertura dei sistemi al nuovo arrivato a definizione del livello di accesso alle informazione.

13

• Formazione ed aggiornamento a tutti i livelli su rischi derivanti dai Social Media

• Definizione di regole chiare e condivise specifiche per l’utilizzo dei Social Media

• Controllo e misura del livello di adozione e la loro efficacia nel tempo rispetto all’evoluzione delle minacce

• Responsabilizzazione degli utenti e delle strutture aziendali coinvolte, a qualsiasi titolo, dall’uso dei Social Media.

NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell’IT né un ambito di pertinenza esclusiva del Marketing!

In un contesto tanto nuovo e complesso, noi scegliamo di puntare sulla formazione continua per il management, gli utenti ed i partner. Nessun sistema informatico è così esperto da superare un sistema di procedure ben progettato e realizzato dove l’ uomo che applica le regole è anche “pensante”. I livelli di implementazione dello “scudo di difesa” sono i seguenti:

FORMAZIONE O DIFESA PASSIVA

14

Dal momento che subire un incidente è solo questione di tempo, è di fondamentale

importanza implementare un insieme di processi di gestione del rischio,

armonizzati e coordinati all’interno di un piano complessivo di Social Media

Management. Pertanto i processi di formazione si devono armonizzare con tutti

quelli tipici della difesa:

Definizione di policies e responsabilità

Moderazione della conversazione

Prevenzione delle minacce (early warning)

Analisi dei Rischi e Monitoraggio continuo (VA, PT)

Tutela legale (proattiva e reattiva)

Gestione degli incidenti e degli attacchi informatici

Questo sia per ottimizzare il ROI del Social Business, sia per evitare

danni economici o d’immagine (anche importanti e complessi

da sanare), sia per impedire la perdita di dati sensibili o per

rimediare ove gli incidenti si siano già verificati.

LA FORMAZIONE E IL PERIMETRO VIRTUALE

15

• Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni dimostrabili (ROI, KPI, KSI…. )

• Creare una struttura multidisciplinare per la gestione della Social Business Strategy, che includa ed integri competenze di Marketing, Legali, di HR, di GRC e di Information Security

• Nominare un unico responsabile per la Social Business Strategy, che abbia una visione globale dei problemi e delle opportunità ed il potere di implementare le procedure necessarie

• scegliere i partner giusti (non esistono al momento economie di scala, la specializzazione è vincente) affinchè siano in grado di trasformare gli obiettivi di sicurezza in procedure organizzative e non soltanto in contromisure tecnologiche!

Il Web 2.0 ed il Social Business in particolare non sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo. I passi organizzativi da compiere per avere un approccio positivo sono i seguenti:

ORGANIZZAZIONE DELLE PROCEDURE DI FORMAZIONE E CONTROLLO

16

Sul “fronte interno” (NB non c’è più il perimetro!)

Strong Authentication + Network Access Control +

Next Generation Firewall

Endpoint protection / Application control / Device control (anche mobile!)

Data Loss & Leakage prevention / DRM / Encryption end-to-end

Sul “fronte esterno” (NB il resto del mondo)

Early Warning / Security Intelligence

Cloud based antimalware / Reputation based monitoring

Reputation Management / Brand Management

OSInt / Analisi e correlazione dei contenuti a livello semantico

SSOC (Socialmedia Security Operations Center)

Tutto questo in un’ottica di Risk Management, Governance & Compliance.

PREVENZIONE, MONITORAGGIO IN REAL TIME E REAZIONE AGLI INCIDENTI

Tutte le procedure sono integrate da una serie di interventi che si sintetizzano attraverso il “fronte interno” e il “fronte Esterno”.

17

PROCEDURE DI DIFESA PASSIVA

Il social network esalta in maniera esponenziale la variabile tempo introducendo la necessità dell’ automazione del processo di difesa per garantire:

Nell’ era dei Social network le informazioni sono condivise in maniera immediata senza alcuna procedura di validazione.

I sistemi di Process Management continuano ad assolvere alla loro funzione di validazione e controllo con la differenza che gran parte dell’ attività deve essere svolta attraverso automatismi in grado di analizzare elevate quantità di dati destrutturati

I social network hanno moltiplicato le tecniche di Haking basate su attacchi simultanei costruiti attraverso gruppi di incontro. Le procedure di reazione basate sull’ azione degli uomini non sono più adeguate. Sono troppo lente NUOVO SCENARIO Il Process Management offre sistemi software che automatizzano la reazione attraverso tre tecniche: •Analisi di simulazione di automi (DEMO) •definizione di processi standard di reazione •Security Intelligence legata all’ analisi dei dati dei log con tecniche tipiche della business intelligence

SICUREZZA DEI DATI

SICUREZZA DEI SISTEMI

18

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

Il Process Management assume il ruolo di “FireWall virtuale” agli attacchi portati dagli stessi sistemi utilizzati per generare e condividere le informazioni.

l’ informazione destrutturata rientra nel formalismo del processo di circolazione dell’ informazione per garantire il contenuto di quanto condiviso con i vari attori.

Nel’ era dell’ informazione destrutturata l’ analisi semantica assume un valore sempre più elevato per verificare l’ enorme

quantità di informazione presenti su tutti i media ma senza un adeguato sistema di processi di verifica è un patrimonio privo di valore. Questi garantiscono: Sicurezza all’ infrastruttura ICT, valore, veridicità, tempestività, utilizzo corretto dell’ informazione. (molto spesso le informazioni ci sono ma non si evidenziano rispetto alla massa)

Dopo aver analizzato l’ impatto dei Social Media sull’ infrastruttura e sui processi di marketing, si evidenzia la necessità di valutare l’ impatto anche sui processi tradizionali legati alla gestione delle informazioni aziendali in ambito amministrativo e strategico. I presupposti logici per intervenire sulle procedure aziendali sono i seguenti.

La revisione dei processi di business in esercizio, indotta dai social Media determina, nuove problematiche di sicurezza?

19

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

La revisione dei processi di business in esercizio, in chiave social media, possono indurre vulnerabilità sino a quel momento sconosciute, di seguito riportiamo le più significative:

Processo di Audit Acquisti

L’ audit di un fornitore può essere condotta attraverso strumenti non tradizionali legati alla reputention nella rete. In tempo di crisi economica, può essere interpretato meno costoso e altrettanto sicuro fare una indagine su internet piuttosto che spostare il personale per la tradizionale visita ispettiva. Di conseguenza tutta l’ area acquisti è profondamente influenzata

Processo di Budget

Il social media permette di avere a disposizione una quantità di informazioni quasi infinita a costituire la base del processo di eleborazione. Al contrario, lo scambio di opinioni o idee tra colleghi, attraverso social media, può indurre un vantaggio nel personale del concorrente che può elaborare strategie aziendali di contrasto. I Rumors possono avere un effetto ben più siginficativo dei numeri.

20

Processo di ricerca del personale

È una delle frontiere più significative dei social Media. Da un lato sono abbattutte tutte le bariere spazio-temporali, dall’ altro le informazioni che pervengono non sono affidabili.

Processo contabile

E’ apparentemente il processo più lontano da una interazione con i Social Media. In realtà la vulnerabilità dell’ infrastruttura elevata dai social media determina la necessità di proteggere uno dei beni più preziosi dell’ azienda rappresentato dai suoi dati amministativi.

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

21

22

UN DECALOGO DI BUONE PRATICHE

1. Definizione degli obiettivi che l’ azienda vuole legare al contesto operativo dei Social Media. Non vanno affrontati per moda.

2. Valutazione dei profili di rischio derivanti da un uso improprio che possono esporre l’ azienda a danni legati a perdita di dati, svilimento dell’ immagine e della reputazione.

3. Gestione della sicurezza attraverso l’ adozione di un mix tra azioni di difesa attiva, passiva e formazione del personale.

4. Definizione delle figure responsabili della sicurezza e della gestione di questo ambito operativo.

5. Gestione delle procedure di comunicazione affinchè siano coerenti con gli obiettivi informativi e di sicurezza.

6. Tutela dell’ immagine aziendale attraverso l’ introduzione di opportuni processi di monitoraggio dei Social Media.

7. Valutazione periodica delle strategie di controllo per il perfezionamento continuo della Social Security attraverso opportuni sistemi di Social Security Intelligence.

8. Formazione del personale sui rischi e sulle politiche di gestione dei social networking a tutti i livelli.

9. Formazione del personale sul corretto utilizzo degli strumenti informatici a disposizione con particolare riguardo alla “consumerizzazione” degli strumenti di utilizzo aziendale. (Smartphone, Tablet)

10. Essere consapevoli che il rischio non è annullabile ma mitigabile, in un contesto dove il rischio è, in ogni caso, molto alto.

23

GRC & Social Network FootPrint GRAZIE !

Domande?

Roma, 10 Dicembre 2012

Paolo Capozucca, SEC Consulting srl

p.capozucca@alfagroup.it Mobile:348.1519777

Giuseppe Cusello, SEC Consulting srl

g.cusello@alfagroup.it Mobile:348.3573158